Kilkadziesiąt tysięcy serwerów VNC czeka w sieci bez hasła

dodał 8 listopada 2013 o 17:20 w kategorii Prywatność, Wpadki  z tagami:
Kilkadziesiąt tysięcy serwerów VNC czeka w sieci bez hasła

Mieliście kiedyś na pomysł, żeby na publicznym adresie IP wystawić zdalny pulpit i nie zabezpieczyć go żadnym hasłem? Okazuje się, że gdybyście tak zaszaleli, Wasz komputer znalazłby się wśród wielu tysięcy podobnie skonfigurowanych maszyn.

Paul McMillan nie jest pewnie pierwszym, który wpadł na pomysł przeskanowania całego internetu pod kątem dostępnych publicznie zdalnych pulpitów – jest jednak pierwszym, który nie tylko to zrobił ( i to na żywo, w trakcie konferencji toorcon), ale również wykonał zrzut ekranu każdego odwiedzonego pulpitu i umieścił wyniki w sieci. Przeskanował on za pomocą narzędzia Masscan całą dostępną przestrzeń adresową IPv4 (oprócz instytucji rządowych i uniwersytetów) pod kątem otwartego portu 5900, na którym domyślnie instaluje się usługa VNC (Virtual Network Computing), umożliwiająca zdalny dostęp do pulpitu komputera.

W drugim kroku użył narzędzia VNCSnapshot, by utrwalić zrzuty ekranów, do których dostał się bez podawania hasła. Cała operacja skanowania i utrwalania zajęła mu 16 minut. Niewiele dłużej myśląc w kroku trzecim opublikował całą kolekcję 30 tysięcy zrzutów ekranów w sieci. Niestety w kroku czwartym kolekcję usunął, ponieważ ktoś zwrócił mu uwagę, jakie poufne dane znalazły się na przechwyconych ekranach.

Komunikat o przeprowadzonym eksperymencie

Komunikat o przeprowadzonym eksperymencie

Co prawda wyniki tego skanu zostały usunięte (a raczej schowane, bo są udostępniane zaufanym badaczom, pomagającym dotrzeć do właścicieli tak spektakularnie niezabezpieczonych komputerów), jednak dzięki artykułowi The Wired możemy dowiedzieć się, na co trafił robot skanujący.

Co prawda nie zawsze ze zrzutu ekranu można wywnioskować, jaką rolę pełni i gdzie znajduje się dany komputer, ale opiszemy najciekawsze przykłady, które dało się zidentyfikować. Skaner zauważył sporo systemów automatycznej kontroli – trafił na przykład na panel zarządzania systemem karmienia świń na wielkiej farmie. Każdy internauta mógł zmienić skład mieszanki, którą otrzymywały zwierzaki. Z podobnej branży pochodziły także panele zarządzania systemem przechowywania mleka oraz system zarządzania kliniką weterynaryjną. Robot natrafił też na system zarządzania wentylacją kopalni w Rumunii, stacji radiowej w Bułgarii czy sterowania kamerami w kasynie w – jak twierdzi The Wired – Czechosłowacji (widocznie podróżował również w czasie).

Kopacz BTC

Kopacz BTC

Badacz trafił również na systemy terminali sprzedaży sklepowych, w których widział dane i numery kart kredytowych klientów, system kontroli reklam, wyświetlanych na wielkich ekranach, myjnie samochodowe czy też system sprzedaży jednej z aptek, gdzie dostępne były dane pacjentów i przepisanych im recept. Wśród zrzutów ekranów pojawiły się także systemy stacji benzynowych, elektrowni z Nowego Jorku czy huty w Los Angeles. Oczywiście nie zabrakło także pulpitów domowych – automat natrafił na graczy World of Warcraft, miłośników pobierania filmów z sieci, kopaczy BTC czy osoby wykonujące przelewy. Inni użytkownicy oglądali zdjęcia, pisali emaile, trafił się też miłośnik pornografii.

Na liście przechwyconych ekranów pojawił się także system monitoringu ładnej rezydencji gdzieś w Polsce – może rozpoznajecie, gdzie się znajduje?

Rezydencja gdzieś w Polsce

Rezydencja gdzieś w Polsce

Co prawda pewnie nie wpadlibyście na pomysł, opisany w pierwszym akapicie, ale na wszelki wypadek sprawdźcie swoje serwery VNC.